Экспертиза

15
октября
2020 год

Различия 382-п и 719-п

Музалевский Фёдор Александрович
Ведущий эксперт компьютерно-технического направления

Общая информация

Положение Банка России 719-П приходит на смену 382-П. Подробное сравнение требований предоставлено в Таблице № 1 в конце статьи. Положение 719-П является усовершенствованной версией 382-П.

Некоторые группы требований, которые содержит 382-П имеются и в 719-П, а именно:

  • Область применения данных положений распространяется на обеспечение безопасности информации при осуществлении переводов денежных средств (защищаемая информация);
  • 719-П имеет больше конкретных требований по применению, чем 382-П однако основные организации (операторы по переводу денежных средств, операторы услуг платежной инфраструктуры, операторы платежных систем и банковские платежные агенты и субагенты) одни и те же.
  • Требования к проведению оценки соответствия сторонней организацией, имеющей соответствующие лицензии (различаются только областью применения документа);
  • Требования по ежегодному тестированию на проникновение и анализу уязвимостей информационной безопасности (различаются только областью применения документа);
  • Требования по безопасности прикладного программного обеспечения;
  • Требования по регистрации событий ЗИ, действий работников и клиентов организации (различаются только областью применения документа);
  • Требования к применению СКЗИ (различаются только областью применения документа);
  • Требования к применению электронной подписи (в обоих случаях применение ЭП в соответствии с 63 ФЗ);

Различия 382-п и 719-п

Однако, имеются и некоторые отличия от отменяемого с 1-го января 2022-го года 382-П:

  • Расширен перечень организаций, на которых распространяется действие 719-П (в 382-П их меньше). Добавлены операторы услуг информационного обмена и поставщики платежных приложений, для которых указаны требования по защите информации.
  • Требования по защите информации указаны в ГОСТ 57580.1, а не в самом Положении как раньше (однако, часть требований остались в самом Положении (общие для всех и частные для некоторых).
  • Оценка соответствия проводится по ГОСТ 57580.2.
  • Операторы по переводу денежных средств должны провести сертификацию прикладного программного обеспечения автоматизированных систем и приложений по уровню доверия не ниже 5-го, а для значимых и системно значимых кредитных организаций – не ниже 4-го уровня.
  • Добавили жесткие требования к банковским платежных агентам и субагентам.
  • Добавили необходимость вычисления значения показателя, характеризующего уровень переводов денежных средств без согласия клиента, формируемого на ежеквартальной основе.
  • Добавили обязанность подтверждать принадлежность клиентам e-mail, на которые отправляются выписки и подтверждения перевода денежных средств.
  • Расширены требования по применению технологий обработки защищаемой информации;
  • Введены требования к защите персональных данных;
  • Требования к применению электронной подписи существенно расширены;

Расширена область применения документа, теперь под регулирование попадают:

Оператор услуг информационного обмена (ОУИО) — организации, оказывающие российским кредитным организациям услуги обмена информацией при переводе средств с помощью электронных средств платежа между кредитной организацией и ее клиентами или между кредитной организацией и иностранным поставщиком платежных услуг.

Поставщик платежных приложений (ППП) — организации-разработчики, предоставляющие клиентам российских банков-партнеров программное обеспечение для осуществления переводов с помощью платежных карт.

Платежный агрегатор (ПА) — это платформа для приема денег на сайте. Она отвечает за перевод средств со счета покупателя на счет продавца. В основе сервиса лежит платежный шлюз.

Сравнение требований 719-П и 382-П

Таблица № 1

382-П 719-П
Ежегодное тестирование на проникновение и анализ уязвимостей Ежегодное тестирование на проникновение и анализ уязвимостей
Проведение оценки соответствия Проведение оценки соответствия уровням защиты информации в соответствии с ГОСТ
Требования к проверяющей организации Требования к проверяющей организации
Требований к сроку хранения отчета о результатах оценки соответствия не установлены (п. 2.15.3.) Требования к хранению отчета о результатах оценки соответствия установлены не менее 5 лет начиная с даты выдачи проверяющей организацией (п.1.1.)
П. 2.5.5.1 – Требования по использованию сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 Требования к сертификации в отношении прикладного программного обеспечения прошедших сертификацию в системе сертификации ФСТЭК или оценку соответствия по требованиям к оценочному уровню доверия  (Далее – УД) не ниже чем УД 4.
П 2.8.4. – Требования к целостности только ПО. Требования к целостности и достоверности защищаемой информации.
П. 2.11.3 – контроль (мониторинг) выполнения порядка обеспечения защиты информации при осуществлении переводов денежных средств возлагается на СИБ. Требования к регламентации, реализации, контролю (мониторингу) технологии обработки защищаемой информации
П 2.6.3 – Положения, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию действий при осуществлении доступа своих работников к защищаемой информации Требования по регистрации результатов совершения действий, связанных с осуществлением доступа к защищаемой информации.
П. 2.13.1. – Требования по информированию ОПС о выявленных инцидентах. Требования по информированию Банка России об инцидентах (событиях)
П. 2.9.1. – Требования к обеспечению защиты ПДн с помощью СКЗИ в соответствии с приказом ФСБ № 378 Требования к защите ПДн в соответствии с 152 – ФЗ, Приказ ФСТЭК № 21. Обеспечение защиты ПДН с помощью СКЗИ в соответствии с приказом ФСБ
№ 378.
П. 2.9.1 – Обеспечение защиты информации с помощью СКЗИ осуществляется в соответствии с
Федеральным законом от 6 апреля 2011 года N 63-ФЗ “Об электронной подписи”, Положение ПКЗ-2005,
Аналогичные 382-П Требования к обеспечению защиты информации при осуществлении переводов ДС с помощью СКЗИ
Требований по использованию ЭП при взаимодействии нет. Взаимодействие ОПДС, БПА, ОУИО, ОУПИ должно обеспечиваться подписанием электронных сообщений усиленной ЭП.
П. 2.10.3. Распоряжение клиента, распоряжение участника платежной системы и распоряжение платежного клирингового центра в электронном виде может быть удостоверено электронной подписью, а также в соответствии с пунктом 3 статьи 847 Гражданского кодекса Российской Федерации (Собрание законодательства Российской Федерации, 1996, N 5, ст. 410) аналогами собственноручной подписи, кодами, паролями и иными средствами, позволяющими подтвердить составление распоряжения уполномоченным на это лицом. Признание электронных сообщений, подписанных ЭП, равнозначными документами на бумажном носителе, подписанным собственноручной подписью.
Не распространяется на отношения регулируемые ФЗ № 187-ФЗ. Однако: Настоящее положение применяется наряду с требованиями ФЗ № 187-ФЗ при обеспечении безопасности АС, ПО, СВТ, телекоммуникационного оборудования, эксплуатация которых обеспечивается при осуществлении передов денежных средств, операторами услуг платежной инфраструктуры, являющихся объектами КИИ.
Требования к обеспечению выполнения требований 683-П при осуществлении банковской деятельности.
П. 2.1. – Требования к обеспечению защиты информации при осуществлении переводов денежных средств применяются для обеспечения защиты следующей информации: …. Требования к обеспечению защиты информации при осуществлении переводов денежных средств в отношении защищаемой информации аналогичные 382-П, однако содержат всего три пункта: Об остатках ДС на банковских счетах клиентов; об остатках электронных денежных средств клиентов операторов по переводу денежных средств; о конфигурации, определяющей параметры работы объектов информационной инфраструктуры, а так же о конфигурации, определяющей параметры работы технических средств защиты информации.
Должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в два года Должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в два года
Должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018
ОПДС являющиеся системно значимыми кредитными организациями, признанные значимыми на рынке платежных услуг, должны обеспечить сертификацию прикладного ПО АС и приложений не ниже 4 уровня доверия. Остальные ОПДС должны обеспечить сертификацию прикладного ПО АС и приложений не ниже 5 уровня доверия.
В 382-П не определен порядок информирования ОПДС об инцидентах БПА (субагентов). Имеется только требование о регистрации инцидентов. Но сроки и порядок не определены. Требования к ОПДС по установке порядка их информирования привлекаемыми ими БПА (субагентами), операторами услуг информационного обмена о выявленных инцидентах.
П. 2.10.5. -Требования к обеспечению реализации технологических мер по использованию раздельных технологий и (или) реализации ограничений по параметрам операций клиентов. Требования к обеспечению реализации технологических мер и (или) реализации ограничений по параметрам операций клиентов.
П. 2.10.6 – Требования к содержанию технологических мер Требования к содержанию технологических мер аналогичные 382-П
Отражен перечень ограничений по параметрам операции по осуществлению переводов денежных средств
Обязанности по информированию банковскими платежными агентами оператора платежной системы  – не установлено. Сведения об инцидентах возникших у привлекаемых БПА, направляет в ЦБ ОПДС
П. 2.8.3. – Оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, должен установить ограничения по параметрам операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга. Оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, должен установить ограничения по параметрам операций, которые могут осуществляться клиентом с использованием сети «Интернет».
П. 2.10 состав Технологических мер П. 2.9 отражено требование, какую реализацию должны обеспечивать технологические меры
П. 2.8.3 – ограничения по параметрам операций не имеют конкретики П. 2.10. Состав ограничений по параметрам операций
П.1.2. – Оператор по переводу денежных средств обеспечивает контроль соблюдения банковскими
платежными агентами (субагентами), привлекаемыми к деятельности по оказанию услуг по
переводу денежных средств, требований к защите информации при осуществлении переводов
денежных средств.
П.2.11 контроль за соблюдением БПА требований к обеспечению защиты информации при осуществлении переводов денежных средств осуществляется ОПДС.  ОПДС должны на основе управления системы рисками определить критерии необходимости проведения тестирования на проникновение и анализ уязвимостей информационной инфраструктуры, проведения оценки соответствия защиты информации, сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений.
Конкретных требований к БПА (субагентам) нет. Требования к обеспечению банковскими платежными агентами (субагентами) защиты информации при осуществлении переводов денежных средств.
Определена область защиты информации для БПА (перечень операций, информация о которых подлежит защите)
БПА должны обеспечить реализацию минимального уровня защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1.-2017. Оценка не реже одного раза в два года. Должны обеспечить уровень соответствия не ниже четвертого.
В случае принятия решения о необходимости проведения сертификации прикладного ПО АС и приложений БПА должны обеспечить сертификацию не ниже 6 уровня доверия в соответствии с приказом ФСТЭК России № 131 (проводится самостоятельно или с привлечением проверяющей организации).
Определены требования к обеспечению защиты информации для операторов услуг информационного обмена при осуществлении переводов денежных средств. (ГОСТ стандартный уровень, обеспечить проведение оценки не реже одного раза в два года, иметь 4 уровень, УД не ниже 5 уровня).
Определены требования к обеспечению защиты информации для операторов платежных систем. ОПС должен определить требования к защите информации в платежной системе в отношении мероприятий: риск -менеджмента в платежной системе, реализация механизмов направленных на соблюдение требований к обеспечению защиты информации, контроль их соблюдения участниками, реализация процесса выявления, анализа и идентификации рисков, реализация процессов реагирования на инциденты, реализация операторами платежных систем ограничений по параметрам операций участников в случае превышения значений показателей уровня риска и снятия таких ограничений. Обязанность социального значимого оператора платежной системы по уведомлению федерального органа исполнительной власти, уполномоченного в области безопасности в части применения СКЗИ.
Требования по защите информации к ОУПИ. Должны обеспечить реализацию уровней защиты информации в соответствии с ГОСТ 57580: усиленный для ОУПИ оказывающих услуги в рамках системно значимых платежных систем; все остальные ОУПИ – стандартный. Определен срок по реализации перехода от стандартного к усиленному не более 18 месяцев. Обеспечить проведение оценки соответствия не реже одного раза в два года. Уровень не ниже 4. Требования о необходимости сертификации или проведение оценки соответствия по ОУД, не ниже, чем ОУД4 в отношении прикладного ПО АС и приложений. В случае принятия решения о проведении сертификации ПО АС и приложений для «усиленного» УЗ должны обеспечить сертификацию не ниже 4 уровня доверия в соответствии с приказом ФСТЭК № 131, для «стандартного» не ниже 5 уровня доверия.
Определен порядок контроля Банком России за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств.

Источник: RTM GROUP


Вернуться к списку экспертиз

Подписаться

Подпишитесь на нашу рассылку, чтобы быть в курсе новостей АБИСС